Asp.net 是否有人使用基本/摘要身份验证保护.net wcf RESTful服务?
我必须确保WCF RESTful服务,我正在考虑以下两种方式之一 1: 通过实现本文中建议的功能 2: 只需在url或post变量中传递用户名和密码 我想知道的是有人做过这件事吗? 这样做吗? 如果我使用第二个选项,鉴于asp.net表单以明文形式发送,这会被指责为不安全吗Asp.net 是否有人使用基本/摘要身份验证保护.net wcf RESTful服务?,asp.net,wcf,Asp.net,Wcf,我必须确保WCF RESTful服务,我正在考虑以下两种方式之一 1: 通过实现本文中建议的功能 2: 只需在url或post变量中传递用户名和密码 我想知道的是有人做过这件事吗? 这样做吗? 如果我使用第二个选项,鉴于asp.net表单以明文形式发送,这会被指责为不安全吗 在查询字符串上传递PII信息是绝对不允许的 WCF支持开箱即用的基本身份验证。您需要将其与传输安全SSL结合起来,以确保数据通过网络安全加密。这绝对是web上最低公分母的身份验证形式,将得到最广泛的支持。要使用这种安全性配置
在查询字符串上传递PII信息是绝对不允许的 WCF支持开箱即用的基本身份验证。您需要将其与传输安全SSL结合起来,以确保数据通过网络安全加密。这绝对是web上最低公分母的身份验证形式,将得到最广泛的支持。要使用这种安全性配置WCF REST服务,只需如下配置服务的绑定:
<webHttpBinding>
<binding name="MyBinding">
<security mode="TransportCredentialOnly">
<transport clientCredentialType="Basic" />
</security>
</binding>
</webHttpBinding>
WCF也支持开箱即用的摘要身份验证,但前提是要针对服务器的AD进行验证,这使得它在internet场景中几乎毫无用处。因此,要进行摘要身份验证,您需要编写自己的实现,该实现与WCF安全运行时挂钩。在网上有一些这样做的例子。这就是说,如果您有SSL,那么与基本身份验证相比,进行摘要身份验证没有任何实际好处。表单身份验证是安全的,因为它实现了内置的身份验证。如果您没有将HTTPSSSL用于选项2,那么这不是一个安全选项。嗨,不幸的是,这不是一个使用SSL和AD的选项。这是一个打包的web应用程序,出售给客户。你是说用WCF Rest做摘要在这种情况下是不可能的吗?不,只是WCF没有提供开箱即用的功能。因此,您需要编写自己的摘要身份验证实现,或者查找其他人编写的摘要身份验证实现。不幸的是,我看到的大多数都是基于WCF REST初学者工具包构建的。我个人建议不要这样做,因为微软hs已经停止了对它的支持。使用其中一个实现并使用纯WCF扩展点编写自己的实现并不需要太多。Drew,你能告诉我如何找到有关如何“挂接到WCF安全例程”的信息吗?请